2022. 12. 20. 15:20 오라클
Exadata 의 시스템 보안설정 (/opt/oracle.cllos/host_access_control )
Exadata 의 시스템 보안설정
# /opt/oracle.cllos/host_access_control --help
주요 설정 항목
• access - 호스트, 네트워 크 등의 사용자 액세스
• auditd-options - auditd 옵션
• banner - 로그인 배너 관리
• fips-mode - openSSH FIPS 모드
• idle-timeout - Shell 및 SSH 클라이언트 유휴 시간 제한시간 제어
• pam-auth - PAM 인증 설정
• password-aging - 현재 사용자 비밀번호의 에이징 조정
• rootssh - 루트 사용자의 SSH 액세스 제어
• ssh-access - 사용자 및 그룹의 SSH 액세스 허용 또는 거부
• sshciphers - SSH 암호화 지원 제어
• ssh-macs - SSH에서 지원되는 MAC
• sudo - sudo로 사용자 권한 제어
• get-runtime - 시스템 구성설정을 가져와 host_access_control 매개변수 설정파일에 저장
# /opt/oracle.cellos/host_access_control apply-defaults --strict_compliance_only
-> host_access_control 명령어로 시스템 보안설정을 누출없이 일괄 정의 가능
• INACTIVE=0
• 로그인 시도 실패 수를 5로 설정
• 로그인 시도를 한 번 실패한 후 계정의 lock_time을 600으로 설정
• 비 밀번호 기록(pam_unix remember)을 10으로 설정
• 암호 강도 : pam_pwquality.so minlen=15 minclass=4 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3
maxclassrepeat=4 local_users_only retry=3 authtok_type=
• PermitRootLogin no
• hard maxlogins 10
• hmac-sha2-256,hmac-sha2-512(서버와 클라이언트 모두)
• 암호 에이징 -M 60, -m 1, -W 7
